信息安全實驗報告ych

1、本科試驗報告課程名稱： 信息平安技術與應用 試驗地點： 試驗機房110 專業(yè)班級： 計Z1303 學 號： 2013002040 同學姓名： 楊朝輝 指導老師： 張輝 成 績： 2016年6月5日歡迎下載太原理工高校同學試驗報告學院名稱計算機科學與技術學院專業(yè)班級計Z1303學號2013002040同學姓名楊朝輝試驗日期5月31日成果課程名稱信息平安技術與應用試驗題目試驗一 常用網絡平安命令1、 試驗目的和要求1. 生疏并把握使用常用網絡平安命令2. 由于常用網絡平安命令功能強大、參數(shù)眾多，在有限時間內不行能對全部命令參數(shù)進行試驗。但要求每個命令至少選擇兩個參數(shù)進行試驗，命令參數(shù)可以任意選擇。

2、命令執(zhí)行后將執(zhí)行結果復制到試驗報告表格中，并對命令執(zhí)行結果進行解釋。2、 試驗內容1. ipconfig命令主要功能：顯示本地主機IP地址、子網掩碼、默認網關、MAC地址等。例1：C:> ipconfig/all2. ping命令主要功能：目標主機的可達性、名稱、IP地址、路由跳數(shù)、來回時間等。例2：C:>ping or target_name3. tracert命令主要功能：路由跟蹤、節(jié)點IP地址、節(jié)點時延、域名信息等。例3：C:>tracert or 4. netstat命令主要功能：顯示協(xié)議統(tǒng)計信息和當前TCP/IP網絡連接

3、。例4：C:>netstat a；C:>netstat n；5. nbtstat命令主要功能：顯示使用NBT （NetBIOS over TCP/IP）的協(xié)議統(tǒng)計和當前TCP/IP網絡連接信息，可獲得遠程或本機的組名和機器名。例5：C:>nbtstat a ；C:>nbtstat n6. net命令主要功能：網絡查詢、在線主機、共享資源、磁盤映射、開啟服務、關閉服務、發(fā)送消息、建立用戶等。net命令功能格外強大，輸入net help command可獲得command的具體功能及使用方法。例5：C: >net view；C: >net

4、view target_name；net send /domain: 計算機名（*為域內廣播）消息3、 主要儀器設備 Win7OS的PC4、 試驗步驟 依據試驗內容進行5、 試驗結果1.ipconfig命令2. ping命令3. tracert命令4. netstat命令5. nbtstat命令6. net命令試驗地點試驗機房110指導老師張輝太原理工高校同學試驗報告學院名稱計算機科學與技術學院專業(yè)班級計Z1303學號2013002040同學姓名楊朝輝試驗日期5月31日成果課程名稱信息平安技術與應用試驗題目試驗二 端口掃描與平安審計一、試驗目的和要求1. 把握使用nmap軟件來進行端口掃描和平

5、安審計的操作2. 由于Nmap掃描功能強大、命令參數(shù)眾多，在有限時間內不行能對全部命令參數(shù)進行試驗。但試驗內容中列舉的掃描命令必需完成，也可以任意選擇其他命令參數(shù)進行試驗。命令執(zhí)行后將執(zhí)行結果復制到試驗報告表格中，并對命令執(zhí)行結果進行解釋。二、試驗內容和原理1. 安裝nmap-4.01-setup.exe軟件留意事項：接受nmap-4.01-setup.exe時將自動安裝WinPcap分組捕獲庫，接受解壓縮nmap-4.01-win32.zip時需事先安裝WinPcap 分組捕獲庫。2. 局域網主機發(fā)覺列表掃描：nmap -sL 局域網地址3. 掃描目標主機端口連續(xù)掃描目標主機端口：nmap

6、r目標主機IP地址或名稱4. 服務和版本檢測目標主機服務和版本檢測：nmap -sV目標主機IP地址或名稱5. 操作系統(tǒng)檢測目標主機操作系統(tǒng)檢測：nmap -O目標主機IP地址或名稱6. 端口掃描組合應用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -80 3、 主要儀器設備 Win7OS的PC4、 試驗步驟 依據試驗內容進行五、試驗結果1.列表掃描nmap -sL 092. 連續(xù)掃描目標主機端口nmap r 093. 目

7、標主機服務和版本檢測nmap -sV 004. nmap -O 085.nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -805-2.注：其次條命令由于掃描IP地址過多電腦無法承受導致軟件多次崩潰，故修改此條命令為： nmap -v -sP /24 /24中間略過遍歷端口5-3.注：第三行代碼同其次行代碼一樣消滅多次軟件卡頓無法正常得出運行結果故修改命令為：nmap -v -iR 10

8、-P0 -p -80試驗地點試驗機房110指導老師張輝 太原理工高校同學試驗報告學院名稱計算機科學與技術學院專業(yè)班級計Z1303學號2013002040同學姓名楊朝輝試驗日期5月31日成果課程名稱 信息平安技術與應用試驗題目試驗三 網絡入侵跟蹤與分析1、 試驗目的和要求1. 由于Ethernet分組捕獲與協(xié)議分析功能強大，在一個試驗單元時間內不行能嫻熟把握Ethernet的使用。但至少應把握捕獲菜單和統(tǒng)計菜單的使用，也可以選擇其他菜單命令進行試驗。二、試驗內容和原理 1. ethereal-setup-0.10.14.exe軟件安裝留意事項：ethereal-setup-0.10.14.exe

9、將自動安裝WinPcap分組捕獲庫，不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析（1）沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系統(tǒng)中分布式組件對象模型DCOM（Distributed Component Object Model）和遠程過程調用 (RPC（Remote Procedure Call）通信協(xié)議漏洞進行攻擊，感染沖擊波蠕蟲病毒的計算機隨機生成多個目標IP地址掃描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445

10、、TCP/593、UDP/593端口查找存在DCOM RPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計算機具有系統(tǒng)無故重啟、網絡速度變慢、Office軟件特別等癥狀，有時還對Windows自動升級（）進行拒絕服務攻擊，防止感染主機獲得DCOM RPC漏洞補丁。依據沖擊波蠕蟲病毒攻擊原理可知，計算機感染沖擊波蠕蟲病毒需要具備三個基本條件。一是存在隨機生成IP地址的主機；二是Windows 2000/XP/2003操作系統(tǒng)開放了RPC調用的端口服務；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。（2）沖擊波蠕蟲病毒攻擊過程分析用Ethereal打開沖擊波蠕蟲病毒捕獲文件Win2000-bl

11、aster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機每次隨機生成多少個目標IP地址？（b）掃描多個端口還是一個端口？假如掃描一個端口，是那一個RPC調用端口？（c）分別計算其次組與第一組掃描、第三組與其次組掃描之間的間隔時間，掃描間隔時間有規(guī)律嗎？（d）共發(fā)送了多少個摸索攻擊分組？（提示：端點統(tǒng)計或規(guī)章tcp.flags.syn=1顯示SYN=1的分組）（e）有摸索攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的IP地址。如沒有攻擊成功的實例，說明為什么沒有攻擊成功？（提示：TCP報文段SYN=1表示連接懇求，SYN=1和ACK=1表示端口在監(jiān)聽，RST

12、=1表示拒絕連接懇求。使用顯示過濾規(guī)章tcp.flags.syn=1&&tcp.flags.ack=1確定是否有端口監(jiān)聽。）三、主要儀器設備 Win7OS的PC、ethereal軟件4、 試驗步驟 依據試驗內容進行五、試驗結果（a）感染主機每次隨機生成多少個目標IP地址？感染主機每次隨機生成20個目標IP地址（b）掃描多個端口還是一個端口？假如掃描一個端口，是那一個RPC調用端口？掃描一個端口，端口135。（c）分別計算其次組與第一組掃描、第三組與其次組掃描之間的間隔時間，掃描間隔時間有規(guī)律嗎？沒有時間規(guī)律（d）共發(fā)送了多少個摸索攻擊分組？（提示：端點統(tǒng)計或規(guī)章tcp.flag

13、s.syn=1顯示SYN=1的分組）共發(fā)送了6008條摸索攻擊分組（e）有摸索攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的IP地址。如沒有攻擊成功的實例，說明為什么沒有攻擊成功？（提示：TCP報文段SYN=1表示連接懇求，SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接懇求。使用顯示過濾規(guī)章tcp.flags.syn=1&&tcp.flags.ack=1確定是否有端口監(jiān)聽。） 沒有摸索攻擊分組攻擊成功試驗地點試驗機房110指導老師張輝太原理工高校同學試驗報告學院名稱計算機科學與技術學院專業(yè)班級計Z1303學號2013002040同學姓名楊朝輝試驗日期5月31日成

14、果課程名稱信息平安技術與應用試驗題目試驗四 網絡入侵檢測系統(tǒng)一、試驗目的和要求1.由于Snort入侵檢測系統(tǒng)功能強大、命令參數(shù)眾多，在有限時間內不行能對全部命令參數(shù)進行試驗?？梢罁约簩nort的生疏程度，從試驗內容中選擇部分試驗，但至少應完成Snort報警與日志功能測試、ping檢測、TCP connect()掃描檢測試驗內容。二、試驗內容和原理1. snort-2_0_0.exe的安裝與配置本試驗除安裝snort-2_0_0.exe之外，還要求安裝nmap-4.01-setup.exe網絡探測和端口掃描軟件。Nmap用于掃描試驗合作伙伴的主機，Snort用于檢測試驗合作伙伴對本機的攻擊。

15、用寫字板打開Snortetcsnort.conf文件對Snort進行配置。將var HOME_NET any中的any配置成本機所在子網的CIDR地址；將規(guī)章路徑變量RULE_PATH定義為C:snortrules；將分類配置文件路徑修改為 include C:snortetcclassification.config；將引用配置文件路徑修改為include C:snortetcreference.config。其余使用Snort配置文件中的默認設置，這里假設全部Snort命令都在C盤根名目下執(zhí)行。2. Snort報警與日志功能測試用寫字板打開C:>Snortruleslocal.rul

16、es規(guī)章文件，添加Snort報警與日志功能測試規(guī)章：alert tcp any any -> any any (msg:"TCP traffic")。執(zhí)行命令：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -i 2假如在C:>Snortlog名目中生成alert.ids報警文件和IP地址命名的日志文件，表明Snort配置正確，能夠實施入侵報警和日志記錄功能。特殊提示：測試Snort報警與日志功能以后，肯定要刪除掉添加的測試規(guī)章或在該規(guī)章前加#號變?yōu)樽⑨專》駝t，隨后的試驗不能獲得正確結果。3. 分組協(xié)議

17、分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C:> snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和應用數(shù)據輸出到屏幕上：C:> snortbinsnort -vd -i n 或C:> snortbinsnort -v d -i n；（命令選項可以任意結合，也可以分開）（3）將捕獲的首部信息記錄到指定的Snortlog名目，在log名目下將自動生成以主機IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i n；n=1/2/3/4/5（4）接受Tcpdum

18、p二進制格式將捕獲的首部信息和應用數(shù)據記錄到指定的Snortlog名目，在log名目下將自動生成snort.log日志文件，可以使用Ethereal或Tcpdump協(xié)議分析軟件打開snort.log文件，也可以通過-r snort.log選項用Snort輸出到屏幕上。C:> snortbinsnort -b -l snortlog -i n；n=1/2/3/4/54. 網絡入侵檢測（1）試驗合作伙伴相互ping對方的主機，利用Snort檢測對本機的ping探測，在snortlog名目下將生成報警文件alert.ids：C:>snortbinsnort -d -c snortetcs

19、nort.conf -l snortlog -i n n=1/2/3/4/5    （2）試驗合作伙伴利用“nmap -sT 目標主機IP地址或名稱”命令TCP connect()掃描對方主機，以文本格式記錄日志的同時，將報警信息發(fā)送到把握臺屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5（3）試驗合作伙伴利用“nmap -O目標主機IP地址或名稱”命令探測目標主機操作系統(tǒng)，以Tcpdump二進制格式記錄日志的同時，將報警信息發(fā)

20、送到把握臺屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -b -l snortlog -A console -i n n=1/2/3/4/5    （4）試驗合作伙伴遠程登錄Telnet對方主機，利用Snort檢測對本機Telnet服務的非法訪問，文本格式記錄日志的同時，將報警信息發(fā)送到把握臺屏幕（console）：假設您的主機IP地址為23，用寫字板打開C:>Snortruleslocal.rules規(guī)章文件，添加檢測Telnet服務非法訪問的規(guī)章：alert tcp an

21、y any -> 23/32 23 (msg: "Someone attempts to access my telnet server")C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5三、主要儀器設備 Win7OS的PC、ethereal軟件四、試驗步驟 依據試驗內容進行五、試驗結果1.Snort配置鍵入規(guī)章命令行執(zhí)行2. 分組協(xié)議分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C:> snortbinsnor

22、t v -i 2（2）TCP/UDP/ICMP/IP首部信息和應用數(shù)據輸出到屏幕上：C:> snortbinsnort -vd -i 2 或C:> snortbinsnort -v d -i 2；（命令選項可以任意結合，也可以分開）（3）將捕獲的首部信息記錄到指定的Snortlog名目，在log名目下將自動生成以主機IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i 2（4）接受Tcpdump二進制格式將捕獲的首部信息和應用數(shù)據記錄到指定的Snortlog名目，在log名目下將自動生成snort.log日志文件，可以使用Ethereal或Tcpdump協(xié)議分析軟件打開snort.log文件，也可以通過-r snort.log選項用Snort輸出到屏幕上。C:> snortbinsnort -b -l snortlog -i 23. 網絡入侵檢測（1）試驗合作伙伴相互ping對方的主機，利用Snort檢測對本機的ping探測，在snortlog名目下將生成報警文件alert.ids：C:>snortbinsnort -d -c snortetc